样本文件名：setup.exe。是个自解压文件。
貌似就是自去年年底至今一直流行的那个所谓“磁碟机”变种。
今天，在“绅博”论坛闲逛，发现网友“抚琴听雨”的帖子（http://bbs.hypost.cn/read.php?tid-216976.html）中提到这个病毒变种。下载后，看了看。就查杀难度而言，此变种比原来的变种有些进步。不但沿袭了原变种废掉多种手工杀毒工具的老传统，还基本上废掉了瑞星2008的主动防御设置（瑞星用户，如果中招后才想起动手设置自己的防御规则，恐怕为时已晚！）。
从这个新变种的行为可以看出，此病毒作者还真有股子韧劲儿！他在不断收集各反病毒论坛的杀毒帖子中提到的杀毒方法，改进此毒的防手杀性能，不断与新近出现的杀毒方案较量。
但有一点，本人感觉比较可笑：
这个新变种运行后，会反复删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的子项。估计是之前有人提出先用IFEO劫持禁止病毒程序运行再杀毒的缘故。其实，本人认为：通过IFEO劫持，禁止此毒的两个主体程序lsass.exe和smss.exe运行，这种方案并不现实。原因在于：建立IFEO劫持项时，系统并不接受路径，只接受被劫持程序的文件名。此毒的lsass.exe和smss.exe虽然位于C;\windows\system32\com\路径下，但其文件名与系统文件夹中的系统文件名完全相同。如果添加了IFEO劫持项，阻止lsass.exe和smss.exe加载，重启后，用户还能进入系统吗？
此毒还有一点比较弱智：
运行后，病毒反复写C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe这个文件。估计是唯恐中招者发现/删除此文件后，下次启动系统时，病毒不能加载运行。此乃典型的“一根儿筋”式的思维！！您（病毒作者）就不能改换个策略，在用户关机前写这个文件吗？汗！！要知道，对于那些配置不高的系统来说，这样反复、连续的删注册表/写文件的动作会使系统运行速度明显变慢，从而导致中招者发现异常。人家没办法删你这个NB病毒，还没办法用备份恢复系统吗？退一步说，就算中招者没有系统备份，人家不会重装系统吗？再者说，您（病毒作者）这个“大作”还没牛B到“非重装系统不行”的份儿上呢！
实机运行了您这个NB样本后，我就用了个老工具（目前已经没什么人使了），胡乱搞了搞，又把您灭了（见附图）！再次向您老（病毒作者）表示“不好意思”。
注1：本次实机测试此样本，未见网友们曾提到的下面两个病毒文件释放：
C:\WINDOWS\system32\ntfsus.exe
C:\WINDOWS\system32\drivers\alg.exe
注2：我的本本只有一个分区，因此不存在被病毒感染的文件如何处理的问题（此毒只感染非系统分区文件）。

附：此毒改动的注册表内容
1、添加的：
HKEY_CLASSES_ROOT\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}
HKEY_CLASSES_ROOT\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}
HKEY_CLASSES_ROOT\Component Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\Component Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\IFOBJ.IfObjCtrl.1
HKEY_CLASSES_ROOT\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKEY_CLASSES_ROOT\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}
HKEY_CLASSES_ROOT\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
"UncheckedValue"=dword:00000001
2、删除的：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HookSys

[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)

猫猫哦

他自然难以禁止网络上那么多工具啦。

中这毒的人，可以多找些几乎没什么人用的一些工具搞搞。

它目前还只局限与常用的十几种工具。

不过下次肯定要按照你提的好主意更新变种了。

至于IFEO只能用于劫持那个开始菜单里的那个~.exe类似的文件运行。

猫叔,给个邮箱,传个样本给你,NB病毒,帮看一下怎么处理

刚试了一下 没发现有删除IFEO项目的功能
倒发现了之前没发现的一个问题
在病毒初始化的时候 加载的一个驱动 提升自身权限后
会结束一些杀毒软件进程....

阳光,我传了个样本给你,帮看一下怎么处理,杀毒辣工具改名也用不了````

引用:

【newcenturymoon的贴子】刚试了一下 没发现有删除IFEO项目的功能 倒发现了之前没发现的一个问题 在病毒初始化的时候 加载的一个驱动 提升自身权限后 会结束一些杀毒软件进程.... ………………

恩，我的也出现了加载驱动的问题，结束杀软进程偶没管，偶有办法撒[偶用脚本解决了该问题]杀软进程结束时会提醒地，嘻嘻

引用:

【歹猴捣菩摹的贴子】阳光,我传了个样本给你,帮看一下怎么处理,杀毒辣工具改名也用不了```` ………………

AV终结者

学习了....

引用:

【newcenturymoon的贴子】刚试了一下 没发现有删除IFEO项目的功能 倒发现了之前没发现的一个问题 在病毒初始化的时候 加载的一个驱动 提升自身权限后 会结束一些杀毒软件进程.... ………………

C:\NetApi00.sys，加载后，被病毒自身删除。
这个功能，上一个版本就有了。

加载驱动后，删除驱动自身。IceSword早就有这招。估计病毒作者应该是跟IceSword学的。

引用:

【baohe的贴子】 C:\NetApi00.sys，加载后，被病毒自身删除。 这个功能，上一个版本就有了。 加载驱动后，删除驱动自身。IceSword早就有这招。估计病毒作者应该是跟IceSword学的。 ………………

嘻嘻，看到了。病毒作者也在学习嘛，都学习[风气真好，郁闷~~~~~~~]